Το COM hijacking (Component Object Model) είναι μια τεχνική στην οποία οι οικογένειες malware εκμεταλλεύονται την αρχιτεκτονική πυρήνα των Windows, προσθέτοντας μια νέα τιμή σε ένα συγκεκριμένο κλειδί μητρώου που σχετίζεται με το αντικείμενο COM.
Δείτε επίσης: Νέα Python παραλλαγή του Chaes Malware στοχεύει τραπεζικές και logistic βιομηχανίες
Αυτό επιτρέπει στους κακόβουλους παράγοντες, να επιτύχουν τόσο επιμονή όσο και κλιμάκωση των προνομίων στα συστήματα-στόχους. Πολλές οικογένειες malware έχει βρεθεί ότι χρησιμοποιούν την τεχνική COM hijacking για να κάνουν κατάχρηση αντικειμένων COM.
Αρκετά δείγματα αυτού του είδους κακόβουλου λογισμικού έχουν ανακαλυφθεί από ερευνητές στο VirusTotal από το 2023.
Τεχνική COM Hijacking
Σύμφωνα με τις αναφορές που κοινοποιήθηκαν στο Cyber Security News, οι απειλητικοί φορείς έκαναν επίσης κατάχρηση πολλών αντικειμένων COM για μόνιμη πρόσβαση στα παραβιασμένα συστήματα.
Ορισμένες από τις οικογένειες κακόβουλου λογισμικού που χρησιμοποίησαν το CLSID (Class ID) για τη χρήση αυτής της τεχνικής, ήταν:
- Berbew
- RATs
- RATs w/ vulnerabilities and
- Adware
Berbew
Αυτή είναι μια από τις πιο κύριες οικογένειες malware που έκαναν κατάχρηση της τεχνικής COM hijacking για επιμονή. Αυτή η οικογένεια malware επικεντρώνεται στην κλοπή διαπιστευτηρίων και στην εξαγωγή τους σε διακομιστές C2.
Δείτε ακόμα: Hackers υπέρ της Χαμάς στοχεύουν το Ισραήλ με το BiBi malware
RATs
Τα περισσότερα από τα Remote Access Trojan (RAT) χρησιμοποιούσαν τεχνικές COM hijacking, όπως το RemcosRAT και το AsyncRAT χρησιμοποιώντας το CLSID {89565275-A714-4a43-912E-978B935EDCCC}.
RATs με τρωτά σημεία
Ενώ υπήρχαν RAT που δεν χρησιμοποίησαν ποτέ μια ευπάθεια για κατάχρηση των αντικειμένων COM, υπήρχαν επίσης RAT που χρησιμοποίησαν αυτήν την τεχνική, όπως το Darkme RAT, που χρησιμοποιούσε το CVE-2024-21412 (παράκαμψη της δυνατότητας ασφαλείας αρχείων συντόμευσης Διαδικτύου) για να παραβιάζει τα συστήματα.
Πολλαπλή χρήση CLSID
Σε ορισμένες περιπτώσεις, οι οικογένειες malware χρησιμοποίησαν περισσότερα από ένα CLSID για κατάχρηση αυτής της τεχνικής COM hijacking. Τα δείγματα αυτών των οικογενειών κακόβουλου λογισμικού απενεργοποίησαν επίσης το Τείχος προστασίας των Windows και το UAC για την εκτέλεση πρόσθετων ενεργειών κατά τα στάδια μόλυνσης.
Adware
Το Citrio ήταν ένα από τα adware που σχεδιάστηκε από την ομάδα Catalina, η οποία, στην πρόσφατη έκδοσή της, χρησιμοποιεί την τεχνική COM Object Hijacking για επιμονή. Το adware ρίχνει πολλά κακόβουλα DLL υπό τη μεταμφίεση του Google Update, το οποίο διαθέτει τη δυνατότητα να δημιουργεί υπηρεσίες στο σύστημα.
Δείτε επίσης: Τα έγγραφα PDF χρησιμοποιούνται όλο και πιο πολύ για τη διανομή malware
Ποια είναι τα βασικά μέτρα προστασίας για την αποτροπή του hijacking;
Ένα από τα πιο σημαντικά μέτρα προστασίας από hijacking όπως αυτό που χρησιμοποιούν οι οικογένειες malware καταχρώμενες αντικείμενα COM, είναι η ενημέρωση του λογισμικού. Οι ενημερώσεις περιλαμβάνουν συχνά διορθώσεις ασφαλείας που μπορούν να αποτρέψουν από εκμετάλλευση των ευπαθειών του λογισμικού. Η χρήση ισχυρών, μοναδικών κωδικών πρόσβασης και η τακτική αλλαγή τους μπορεί να αποτρέψει την παραβίαση λογισμικού. Η χρήση λογισμικού antivirus μπορεί να προστατεύσει το σύστημά σας από κακόβουλο λογισμικό που επιδιώκει να παραβιάσει το λογισμικό σας. Η εκπαίδευση των χρηστών για τις καλύτερες πρακτικές ασφαλείας, όπως η αποφυγή του κλικ σε ύποπτους συνδέσμους ή η λήψη αρχείων από μη αξιόπιστες πηγές, μπορεί να μειώσει τον κίνδυνο παραβίασης λογισμικού. Τέλος, η χρήση εργαλείων παρακολούθησης δικτύου και λογισμικού μπορεί να βοηθήσει στην ανίχνευση και την αντιμετώπιση των προσπαθειών παραβίασης πριν αυτές προκαλέσουν σημαντική ζημιά.
Πηγή: cybersecuritynews
